Despre conținutul de securitate din macOS High Sierra 10.13.5, Actualizarea de securitate 2018-003 Sierra și Actualizarea de securitate 2018-003 El Capitan
În acest document este descris conținutul de securitate din macOS High Sierra 10.13.5, Actualizarea de securitate 2018-003 Sierra și Actualizarea de securitate 2018-003 El Capitan.
Despre actualizările de securitate Apple
Pentru protecția clienților noștri, Apple nu divulgă, nu discută și nu confirmă problemele de securitate până când nu se efectuează o investigație și până când nu sunt disponibile corecții sau versiuni noi. Versiunile recente sunt listate pe pagina Actualizări de securitate Apple.
Pentru informații suplimentare despre securitate, consultă pagina referitoare la securitatea produselor Apple. Poți să criptezi mesajele prin care comunici cu Apple folosind cheia PGP pentru securitatea produselor Apple.
Documentele de securitate Apple menționează vulnerabilitățile după CVE-ID (ID CVE), atunci când este posibil.
macOS High Sierra 10.13.5, Actualizarea de securitate 2018-003 Sierra și Actualizarea de securitate 2018-003 El Capitan
Cadru de accesibilitate
Disponibilitate pentru: macOS High Sierra 10.13.4
Impact: o aplicație rău intenționată ar putea executa un cod arbitrar cu privilegii de sistem
Descriere: a existat o problemă de divulgare de informații în Cadru de accesibilitate. Această problemă a fost rezolvată prin îmbunătățirea gestionării memoriei.
CVE-2018-4196: Alex Plaskett, Georgi Geshev și Fabian Beterke (MWR Labs) în colaborare cu Zero Day Initiative (Trend Micro) și WanderingGlitch (Zero Day Initiative (Trend Micro))
AMD
Disponibilitate pentru: macOS High Sierra 10.13.4
Impact: un utilizator local poate citi memoria kernel
Descriere: a existat o problemă de citire în afara limitelor care conducea la divulgarea conținutului memoriei nucleului. Această problemă a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2018-4253: shrek_wzw (Qihoo 360 Nirvan Team)
AMD
Disponibilitate pentru: macOS High Sierra 10.13.4
Impact: un utilizator local poate citi memoria kernel
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2018-4256: shrek_wzw (Qihoo 360 Nirvan Team)
AMD
Disponibilitate pentru: macOS High Sierra 10.13.4
Impact: un utilizator local poate citi memoria kernel
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2018-4255: shrek_wzw (Qihoo 360 Nirvan Team)
AMD
Disponibilitate pentru: macOS High Sierra 10.13.4
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: în kernel a existat o problemă de validare a intrărilor. Această problemă a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2018-4254: un cercetător anonim
AMD
Disponibilitate pentru: macOS High Sierra 10.13.4
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: în kernel a existat o problemă de validare a intrărilor. Această problemă a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2018-4254: shrek_wzw (Qihoo 360 Nirvan Team)
AppleGraphicsControl
Disponibilitate pentru: macOS High Sierra 10.13.4
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: o problemă de depășire a memoriei-tampon a fost rezolvată prin îmbunătățirea verificării limitelor.
CVE-2018-4258: shrek_wzw (Qihoo 360 Nirvan Team)
AppleGraphicsPowerManagement
Disponibilitate pentru: macOS High Sierra 10.13.4
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de depășire de memoriei-tampon prin îmbunătățirea validării dimensiunii.
CVE-2018-4257: shrek_wzw (Qihoo 360 Nirvan Team)
apache_mod_php
Disponibilitate pentru: macOS High Sierra 10.13.4
Impact: mai multe probleme din php au fost rezolvate în această actualizare
Descriere: această problemă a fost rezolvată prin actualizarea la php versiunea 7.1.16.
CVE-2018-7584: Wei Lei și Liu Yang (Nanyang Technological University)
ATS
Disponibilitate pentru: macOS High Sierra 10.13.4
Impact: o aplicație rău intenționată poate să acorde privilegii superioare
Descriere: a fost rezolvată o problemă de confuzie a tipului prin îmbunătățirea tratării memoriei.
CVE-2018-4219: Mohamed Ghannam (@_simo36)
Bluetooth
Disponibilitate pentru: MacBook Pro (Retina, 15 inch, mijlocul anului 2015), MacBook Pro (Retina, 15 inch, 2015), MacBook Pro (Retina, 13 inch, începutul anului 2015), MacBook Pro (15 inch, 2017), MacBook Pro (15 inch, 2016), MacBook Pro (13 inch, finele anului 2016, două porturi Thunderbolt 3), MacBook Pro (13 inch, finele anului 2016, patru porturi Thunderbolt 3), MacBook Pro (13 inch, 2017, patru porturi Thunderbolt 3), MacBook (Retina, 12 inch, începutul anului 2016), MacBook (Retina, 12 inch, începutul anului 2015), MacBook (Retina, 12 inch, 2017), iMac Pro, iMac (Retina 5K, 27 inch, finele anului 2015), iMac (Retina 5K, 27 inch, 2017), iMac (Retina 4K, 21,5 inch, finele anului 2015), iMac (Retina 4K, 21,5 inch, 2017), iMac (21,5 inch, finele anului 2015) și iMac (21,5 inch, 2017)
Impact: un atacator cu poziție privilegiată în rețea ar putea intercepta traficul Bluetooth
Descriere: în Bluetooth a existat o problemă de validare a intrărilor. Această problemă a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2018-5383: Lior Neumann și Eli Biham
Bluetooth
Disponibilitate pentru: OS X El Capitan 10.11.6, macOS Sierra 10.12.6
Impact: se poate ca o aplicație rău intenționată să aibă posibilitatea să determine aspectul memoriei kernel.
Descriere: a existat o problemă de divulgare de informații în proprietățile dispozitivului. Această problemă a fost rezolvată prin îmbunătățirea gestionării obiectelor.
CVE-2018-4171: shrek_wzw (Qihoo 360 Nirvan Team)
CoreGraphics
Disponibilitate pentru: macOS High Sierra 10.13.4
Impact: procesarea unui conținut web creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o citire în afara limitelor prin îmbunătățirea validării intrării.
CVE-2018-4194: Jihui Lu (Tencent KeenLab), Yu Zhou (Ant-financial Light-Year Security Lab)
CUPS
Disponibilitate pentru: macOS High Sierra 10.13.4
Impact: un proces local poate modifica alte procese fără verificări ale drepturilor
Descriere: a existat o problemă în CUPS. Această problemă a fost rezolvată prin îmbunătățirea restricțiilor de accesare.
CVE-2018-4180: Dan Bastone (Gotham Digital Science)
CUPS
Disponibilitate pentru: macOS High Sierra 10.13.4
Impact: un utilizator local ar putea să citească fișiere arbitrare ca rădăcină
Descriere: a existat o problemă în CUPS. Această problemă a fost rezolvată prin îmbunătățirea restricțiilor de accesare.
CVE-2018-4181: Eric Rafaloff și John Dunlap (Gotham Digital Science)
CUPS
Disponibilitate pentru: macOS High Sierra 10.13.4
Impact: este posibil ca un proces din sandbox să poată ocoli restricțiile sandboxului
Descriere: o problemă de acces a fost rezolvată prin restricții suplimentare pentru sandbox în CUPS.
CVE-2018-4182: Dan Bastone (Gotham Digital Science)
CUPS
Disponibilitate pentru: macOS High Sierra 10.13.4
Impact: este posibil ca un proces din sandbox să poată ocoli restricțiile sandboxului
Descriere: o problemă de acces a fost rezolvată prin restricții suplimentare pentru sandbox.
CVE-2018-4183: Dan Bastone și Eric Rafaloff (Gotham Digital Science)
EFI
Disponibilitate pentru: macOS High Sierra 10.13.4
Impact: un atacator cu acces fizic la un dispozitiv ar putea să realizeze elevarea privilegiilor
Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea logicii.
CVE-2018-4478: un cercetător anonim, un cercetător anonim, Ben Erickson (Trusted Computer Consulting, LLC)
Firmware
Disponibilitate pentru: macOS High Sierra 10.13.4
Impact: o aplicație rău intenționată cu privilegii de rădăcină ar putea să modifice regiunea EFI a memoriei flash
Descriere: o problemă legată de configurația dispozitivului a fost rezolvată cu o configurație actualizată.
CVE-2018-4251: Maxim Goryachy și Mark Ermolov
FontParser
Disponibilitate pentru: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.4
Impact: procesarea unui fișier de font creat cu rea intenție poate cauza executarea unui cod arbitrar
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea validării.
CVE-2018-4211: Proteas (Qihoo 360 Nirvan Team)
Grand Central Dispatch
Disponibilitate pentru: macOS High Sierra 10.13.4
Impact: este posibil ca un proces din sandbox să poată ocoli restricțiile sandboxului
Descriere: a existat o problemă la analizarea plisturilor de autorizare. Această problemă a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2018-4229: Jakob Rieck (@0xdead10cc) (Security in Distributed Systems Group, University of Hamburg)
Drivere video
Disponibilitate pentru: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.4
Impact: o aplicație poate citi memorie restricționată
Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea igienizării intrării.
CVE-2018-4159: Axis și pjf (IceSword Lab din Qihoo 360)
Hypervisor
Disponibilitate pentru: macOS High Sierra 10.13.4
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o vulnerabilitate de deteriorare a memoriei prin îmbunătățirea blocării.
CVE-2018-4242: Zhuo Liang (Qihoo 360 Nirvan Team)
iBooks
Disponibilitate pentru: macOS High Sierra 10.13.4
Impact: un atacator cu o poziție privilegiată în rețea ar putea falsifica mesajele de solicitare a parolei în iBooks
Descriere: o problemă de validare a intrării a fost rezolvată prin îmbunătățirea validării intrării.
CVE-2018-4202: Jerry Decime
Servicii de identitate
Disponibilitate pentru: macOS High Sierra 10.13.4
Impact: o aplicație rău intenționată poate accesa ID-urile Apple ale utilizatorilor locali
Descriere: o problemă de confidențialitate în tratarea registrelor Open Directory prin îmbunătățirea indexării.
CVE-2018-4217: Jacob Greenfield (Commonwealth School)
Driver video Intel
Disponibilitate pentru: macOS High Sierra 10.13.4
Impact: o aplicație poate citi memorie restricționată
Descriere: a fost rezolvată o problemă de validare prin îmbunătățirea igienizării intrării.
CVE-2018-4141: un cercetător anonim, Zhao Qixun (@S0rryMybad) (Qihoo 360 Vulcan Team)
IOFireWireAVC
Disponibilitate pentru: macOS High Sierra 10.13.4
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o condiție de rulare prin îmbunătățirea blocării.
CVE-2018-4228: Benjamin Gnahm (@mitp0sh) (Mentor Graphics)
IOGraphics
Disponibilitate pentru: macOS High Sierra 10.13.4
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2018-4236: Zhao Qixun(@S0rryMybad) (Qihoo 360 Vulcan Team)
IOHIDFamily
Disponibilitate pentru: macOS High Sierra 10.13.4
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2018-4234: Proteas (Qihoo 360 Nirvan Team)
Kernel
Disponibilitate pentru: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.4
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2018-4249: Kevin Backhouse (Semmle Ltd.)
Kernel
Disponibilitate pentru: OS X El Capitan 10.11.6, macOS Sierra 10.12.6
Impact: este posibil ca o aplicație rău intenționată să poată executa un cod arbitrar având privilegii de kernel
Descriere: în unele circumstanțe, unele sisteme de operare ar putea să nu aștepte sau să nu gestioneze corespunzător o excepție de depanare a arhitecturii Intel după anumite instrucțiuni. Problema pare a fi cauzată de un efect secundar nedocumentat al instrucțiunilor. Un atacator ar putea utiliza această gestionare a excepției pentru a dobândi acces la Ring 0 și a accesa memorie sensibilă sau pentru a controla procesele sistemului de operare.
CVE-2018-8897: Andy Lutomirski, Nick Peterson (linkedin.com/in/everdox) (Everdox Tech LLC)
Kernel
Disponibilitate pentru: macOS High Sierra 10.13.4
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: o problemă de depășire a memoriei-tampon a fost rezolvată prin îmbunătățirea verificării limitelor.
CVE-2018-4241: Ian Beer (Google Project Zero)
CVE-2018-4243: Ian Beer (Google Project Zero)
libxpc
Disponibilitate pentru: macOS High Sierra 10.13.4
Impact: este posibil ca o aplicație să obțină privilegii de nivel ridicat
Descriere: a fost rezolvată o problemă de logică prin îmbunătățirea validării.
CVE-2018-4237: Samuel Groß (@5aelo) în colaborare cu Zero Day Initiative (Trend Micro)
libxpc
Disponibilitate pentru: macOS High Sierra 10.13.4
Impact: o aplicație poate executa un cod arbitrar cu privilegii de sistem
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2018-4404: Samuel Groß (@5aelo) în colaborare cu Zero Day Initiative (Trend Micro)
Disponibilitate pentru: macOS High Sierra 10.13.4
Impact: un atacator ar putea exfiltra conținutul unui e-mail criptat cu S/MIME
Descriere: a existat o problemă la tratarea mesajelor Mail criptate. Această problemă a fost rezolvată prin îmbunătățirea izolării MIME în Mail.
CVE-2018-4227: Damian Poddebniak (Münster University of Applied Sciences), Christian Dresen (Münster University of Applied Sciences), Jens Müller (Ruhr University Bochum), Fabian Ising (Münster University of Applied Sciences), Sebastian Schinzel (Münster University of Applied Sciences), Simon Friedberger (KU Leuven), Juraj Somorovsky (Ruhr University Bochum), Jörg Schwenk (Ruhr University Bochum)
Mesaje
Disponibilitate pentru: macOS High Sierra 10.13.4
Impact: un utilizator local poate efectua atacuri cu uzurparea identității
Descriere: a fost rezolvată o problemă de injectare prin îmbunătățirea validării intrării.
CVE-2018-4235: Anurodh Pokharel (Salesforce.com)
Mesaje
Disponibilitate pentru: macOS High Sierra 10.13.4
Impact: procesarea unui mesaj creat cu rea intenție poate cauza o refuzare a serviciului
Descriere: această problemă a fost rezolvată prin îmbunătățirea validării mesajelor.
CVE-2018-4240: Sriram (@Sri_Hxor) (PrimeFort Pvt.) Ltd
Drivere video NVIDIA
Disponibilitate pentru: macOS High Sierra 10.13.4
Impact: o aplicație poate executa un cod arbitrar cu privilegii de kernel
Descriere: a fost rezolvată o condiție de rulare prin îmbunătățirea blocării.
CVE-2018-4230: Ian Beer (Google Project Zero)
Securitate
Disponibilitate pentru: macOS High Sierra 10.13.4
Impact: utilizatorii pot fi urmăriți de site-uri web rău intenționate utilizând certificate de client
Descriere: a existat o problemă la tratarea certificatelor S-MIME. Această problemă a fost rezolvată prin îmbunătățirea validării certificatelor S-MIME.
CVE-2018-4221: Damian Poddebniak (Münster University of Applied Sciences), Christian Dresen (Münster University of Applied Sciences), Jens Müller (Ruhr University Bochum), Fabian Ising (Münster University of Applied Sciences), Sebastian Schinzel (Münster University of Applied Sciences), Simon Friedberger (KU Leuven), Juraj Somorovsky (Ruhr University Bochum), Jörg Schwenk (Ruhr University Bochum)
Securitate
Disponibilitate pentru: macOS High Sierra 10.13.4
Impact: un utilizator local poate citi un identificator de cont persistent
Descriere: o problemă de autorizare a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2018-4223: Abraham Masri (@cheesecakeufo)
Securitate
Disponibilitate pentru: macOS High Sierra 10.13.4
Impact: un utilizator local poate citi un identificator de dispozitiv persistent
Descriere: o problemă de autorizare a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2018-4224: Abraham Masri (@cheesecakeufo)
Securitate
Disponibilitate pentru: macOS High Sierra 10.13.4
Impact: un utilizator local poate modifica starea caracteristicii Portchei
Descriere: o problemă de autorizare a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2018-4225: Abraham Masri (@cheesecakeufo)
Securitate
Disponibilitate pentru: macOS High Sierra 10.13.4
Impact: se poate ca un utilizator local să vizualizeze informații sensibile despre utilizator
Descriere: o problemă de autorizare a fost rezolvată prin îmbunătățirea gestionării stării.
CVE-2018-4226: Abraham Masri (@cheesecakeufo)
Vorbire
Disponibilitate pentru: macOS High Sierra 10.13.4
Impact: este posibil ca un proces din sandbox să poată ocoli restricțiile sandboxului
Descriere: a existat o problemă legată de sandbox la gestionarea accesului la microfon. Această problemă a fost rezolvată printr-o gestionare îmbunătățită a accesului la microfon.
CVE-2018-4184: Jakob Rieck (@0xdead10cc) (Security in Distributed Systems Group, University of Hamburg)
UIKit
Disponibilitate pentru: macOS High Sierra 10.13.4
Impact: procesarea unui fișier de text creat cu rea intenție poate cauza o refuzare a serviciului
Descriere: a existat o problemă de validare la tratarea textului. Această problemă a fost rezolvată prin îmbunătățirea validării textului.
CVE-2018-4198: Hunter Byrnes
Server Windows
Disponibilitate pentru: OS X El Capitan 10.11.6, macOS Sierra 10.12.6, macOS High Sierra 10.13.4
Impact: o aplicație poate executa un cod arbitrar cu privilegii de sistem
Descriere: a fost rezolvată o problemă de deteriorare a memoriei prin îmbunătățirea tratării memoriei.
CVE-2018-4193: Markus Gaasedelen, Amy Burnett și Patrick Biernat (Ret2 Systems, Inc) în colaborare cu Zero Day Initiative (Trend Micro), Richard Zhu (fluorescence) în colaborrare cu Zero Day Initiative (Trend Micro)
Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.